[디지털데일리 이종현기자] 통일 정책분야 연구원으로 사칭해 대북 종사자의 개인정보를 수집하는 지능형지속위협(APT) 공격이 발견돼 주의가 필요하다.

이스트시큐리티는 특정 정부와 연계된 것으로 알려진 사이버 위협 그룹 ‘금성 121’ 해커들이 새로운 공격 시나리오로 APT 공격을 수행하고 있다고 8일 밝혔다.

금성 121 그룹은 최근까지 다양한 해킹 사례의 배후로 지목되고 있다. 라자루스(Lazarus), 김수키(Kimsuky), 코니(Konni) 등과 함께 대한민국을 주무대로 활동하는 대표적인 위협 조직 중 하나다.

이스트시큐리티 시큐리티대응센터(ESRC)의 위협 분석 결과에 따르면 이들은 통일정책 분야의 연구원으로 변장해 공격 대상의 스마트폰 전화번호 등 개인정보를 1차 수집하고 일정 기간 후 상대방과 성별이 다른 카카오톡 프로필을 만들어 해킹을 시도하고 있다. 만약 공격 대상자가 남성일 경우에는 여성의 사진과 이름으로 접근하는 미인계 작전을 사용한다는 설명이다.

주요 공격 대상은 대북분야에서 활동하는 주요 인사들이다. 이들에게 자신이 통일 정책 분야 기관에서 새로 근무하게 된 여성 선임연구원처럼 사칭한 가짜 소개 이메일을 보낸다.

해당 이메일에는 기존 스피어 피싱 공격처럼 별도의 악성파일이나 위험한 인터넷주소(URL) 링크를 포함하지 않고 평범한 소개 및 인사 내용만 담고 있다. 이메일을 수신한 다수 사람에게 확인차 회신을 요청하고 일부 답신한 사람에게 연락 목적으로 전화번호 등을 요구하는 방식이다.

공격자는 일반적인 이메일 소통 과정을 통해 공격 대상자의 스마트폰 전화번호를 확인하고 일정 기간이 지난 다음 가상의 새로운 인물로 위장해 카카오톡으로 접근을 시도한다.

카카오톡으로 연결된 해커는 최소 1개월 이상 극히 일상적인 대화와 정상적인 사진, 문서 파일 등을 여러 차례 공유하며 의심을 피하며 대화를 지속한다. 이러한 생활 밀착형 개인 소통을 통해 친밀감을 높인 뒤 방심한 순간 위협 요소가 포함된 자료를 전달해 해킹을 본격적으로 수행한다.

ESRC 관계자는 “금성 121 조직은 PC 기반 공격뿐만 아니라 스마트폰을 상대로 다양한 형태의 APT 공격을 시기적절하게 수행하고 있다”며 “중장기적인 플랜과 시간을 두고 맞춤형 APT 공격을 수행하는 만큼 온라인상 불특정 인물과 인맥을 맺는 데 있어 각별한 보안 주의가 필요하다”고 말했다.

금성 121은 지난 3월 ‘오퍼레이션 스파이 클라우드’ APT 공격을 통해 외교, 통일, 안보 분야 종사자나 대북 관련 단체장, 탈북민을 겨냥한 위협을 가속화 중인 것으로 알려진 바 있다. 특히 구글 플레이 공식 애플리케이션(앱) 마켓이나 유튜브를 통한 신뢰 기반의 공격 대담성은 다른 APT 조직에서 보기 어려운 독특한 점이라는 것이 ESRC 측 설명이다.

문종현 ESRC 센터장은 “금성 121 조직은 한국의 정치적인 상황과 맞물려 통일 및 대북 관계자를 겨냥한 대표적인 위협 배후”라며 “최근까지 모바일 기반으로 공격 대상자를 선별해 진행하고 있어 모르는 사람이 대화를 시도해 올 경우 별도의 신분 확인 절차와 보안 의식 생활화가 필요하다”고 강조했다.

이어서 그는 “금성 121은 최근까지 매우 활발한 위협 활동의 중심에 서 있는 조직으로 다년간 대한민국을 대상으로 APT 공격을 수행 중”이라며 “체계적인 연구와 대응 노력이 절실하다”고 피력했다.

<이종현 기자>bell@ddaily.co.kr